個人情報の価格算出方法

PSNが再開したそうです。

PSNはプレイステーションネットワークの略であり、
過日、過去最大規模と言われる7700万人もの
情報漏洩事件を起こしたネットワークです。

2010年時点での現在1人あたりの
平均損害賠償額は40000円を超えているようです。
（参照：JNSA 2010年情報セキュリティインシデントに関する調査報告書～個人情報漏えい編）

過去に賠償金支払いがあった事例を持ちだして
「2兆円超え、1人あたり20000円強」という情報もありますが、
ソニー側が提示したPSNユーザへの補償全容は、
ソフト4本のダウンロードとPSN＋の30日間無料（500円）でした。

ゲームソフトの定価は2500～8000円程度。
個人により受け取る価値も異なりますし、
ダウンロードなので、パッケージの値段や流通の経費が
入っていないことを考慮するともう少し下がるでしょう。
難しいところですが4本全てを最安値の定価として2500×4本。
10000円強という金額がソニー側の算出した情報価値なわけです。

こう見ると、個人情報の価値に対する見解には
かなりのばらつきがあるようです。
個人情報の適正な賠償額とはどのくらいのものなのでしょうか？　
気になったので調べてみると、こちらも先ほどの資料の47-52ページで
算出方法を明確に出しています。


500×（10^X-1＋5^Y-1）×（企業規模による責任）×（個人特定の容易さ）×（事後対応）


XとYは流出した情報の性質により変化します。
X軸＝経済的損失、Y軸＝精神的損失のマトリクス図で
それぞれ3段階、計9種類に分類されます。詳細はリンク先をご覧ください。

そして算出された中からX軸、Y軸における
最大の数字を計算式にあてはめます。

ソニーが流出した「氏名」「住所」「Eメールアドレス」などは
X＝１、Y＝１に分類される一番軽微な項目ばかりです。
クレジットカードの番号と暗証番号は暗号化されていたため、
今回は漏えいしたとは計算しないことにします。

企業規模による係数が2、
個人特定の容易さによる係数が6、
事後対応が良かったと仮定し1とすると、


500×（10^1-1＋5^1-1）×2×6×1で12000


が妥当な額と算出されます。
ということで、現状のソニーが行った補償は
こういう計算からは金額的にほぼ妥当という考え方もあるわけです。

この計算方法で合計金額を計算すると2兆超えにはなりませんでしたが、
賠償額は12000円×7700万人＝9240億円と莫大な金額になっています。
ちなみに暗号化されたはずのクレジットカードの暗証番号が露出したとすると、
1人60万円、賠償金額は総計50兆円まで跳ね上がります。
いやはや、情報漏洩は恐ろしい…。

（井上宇紀）